下面小编给大家整理的解析远程访问的三种入侵方式及解决之道,本文共3篇,希望大家喜欢!本文原稿由网友“Marci”提供。
篇1:解析远程访问的三种入侵方式及解决之道
作者: Coffie, 出处:IT专家网
随着信息化办公的普及,远程访问的需求也水涨船高,越来越多的企业,已经不再只满足于信息化系统只能够在企业内部使用。由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的企业员工,提供了访问企业内部网络资源的渠道。
但是,毋庸置疑的,对企业内部网络资源的远程访问增加了企业网络的脆弱性,产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略,也没有提供独立的安全鉴别机制。或者说,需要依靠其他的安全策略,如IPSec技术或者访问控制列表来保障其安全性。所以,远程访问增加了企业内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结,跟大家一起来提高远程访问的安全性。
一、针对特定服务的攻击
企业往往会在内部网络中部署一些HTTP、FTP服务器。同时,通过一定的技术,让员工也可以从外部访问这些服务器。而很多远程访问攻击,就是针对这些服务所展开的。诸如这些支持SMTP、POP等服务的应用程序,都有其内在的安全隐患。给入侵者开了一道后门。
如WEB服务器是企业常用的服务。可惜的是,WEB服务器所采用的HTTP服务其安全性并不高。现在通过攻击WEB服务器而进行远程访问入侵的案例多如牛毛。入侵者通过利用WEB服务器和操作系统存在的缺陷和安全漏洞,可以轻易的控制WEB服务器并得到WEB内容的访问权限。如此,入侵者得手之后,就可以任意操作数据了。即可以在用户不知情的情况下秘密窃取数据,也可以对数据进行恶意更改。
针对这些特定服务的攻击,比较难于防范。但是,并不是一点对策都没有。采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。如采取如下措施,可以起到一些不错的效果。
一、是采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵企业内部网络的跳板。而HTTPS则相对来说安全的多。因为在这个协议中,加入了一些安全措施,如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。当然,天下没有免费的午餐。服务器要为此付出比较多的系统资源开销。
二、是对应用服务器进行升级。其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
三、是可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让企业内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似,但是安全性上却差很远。TFTP是一个不安全的协议,他不提供身份鉴别贡呢功能。也就是说,任何人只要能够连接到TFTP服务器上,就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问,但是只要网络安全人员限制用户匿名访问,那么就可以提高文件共享的安全性。
二、针对远程节点的攻击
远程节点的访问模式是指一台远程计算机连接到一个远程访问服务器上,并访问其上面的应用程序。如我们可以通过Telent或者SSH技术远程登陆到路由器中,并执行相关的维护命令,还可以远程启动某些程序。在远程节点的访问模式下,远程服务器可以为远程用户提供应用软件和本地存储空间,
现在远程节点访问余越来越流行。不过,其安全隐患也不小。
一是增强了网络设备等管理风险。因为路由器、邮箱服务器等等都允许远程管理。若这些网络设备的密码泄露,则即使在千里之外的入侵者,仍然可以通过远程节点访问这些设备。更可怕的是,可以对这些设备进行远程维护。如入侵者可以登陆到路由器等关键网络设备,并让路由器上的安全策略失效。如此的话,就可以为他们进一步攻击企业内部网络扫清道路。而有一些人即使不攻击企业网络,也会搞一些恶作剧。如笔者以前就遇到过,有人入侵路由器后,“燕过留声,人过留名”。入侵者竟然把路由器的管理员密码更改了。这让我郁闷了好久。所以如果网络安全管理人员允许管理员进行远程节点访问,那么就要特别注意密码的安全性。要为此设立比较复杂的密码,并经常更换。
二是采取一些比较安全的远程节点访问方法。如对于路由器或者其他应用服务器进行远程访问的话,往往即可以通过HTTP协议,也可以通过SSH协议进行远程节点访问。他们的功能大同小异。都可以远程执行服务器或者路由器上的命令、应用程序等等。但是,他们的安全性上就有很大的差异。Telent服务其安全性比较差,因为其无论是密码还是执行代码在网络中都是通过明文传输的。如此的话,其用户名与密码泄露的风险就比较大。如别有用心的入侵者可以通过网络侦听等手段窃取网络中明文传输的用户名与密码。这会给这些网络设备带来致命的打击。而SSH协议则相对来说比较安全,因为这个服务在网络上传输的数据都是加密处理过的。它可以提高远程节点访问的安全性。像Cisco公司提供的网络设备,如路由器等等,还有Linux基础上的服务器系统,默认情况下,都支持SSH服务。而往往会拒绝启用Telent服务等等。这也主要是出于安全性的考虑。不过基于微软的服务器系统,其默认情况下,支持Telent服务。不过,笔者建议,大家还是采用SSH服务为好。其安全性更高。
三、针对远程控制的攻击
远程控制是指一个远程用户控制一台位于其他地方的计算机。这台计算机可能是有专门用途的服务器系统,也可能是用户自己的计算机。他跟远程节点访问类似,但又有所不同。当用户通过远程节点访问服务器,则用户自己并不知道有人在访问自己。而通过远程控制访问的话,则在窗口中可以直接显现出来。因为远程用户使用的计算机只是作为键盘操作和现实之用,远程控制限制远程用户只能够使用驻留在企 控制的计算机上的软件程序。如像QQ远程协助,就是远程控制的一种。
相对来说,远程控制要比节点访问安全性高一点。如一些远程控制软件往往会提供加强的审计和日志功能。有些远程控制软件,如QQ远程协助等,他们还需要用户提出请求,对方才能够进行远程控制。但是,其仍然存在一些脆弱性。
一是只需要知道用户名与口令,就可以开始一个远程控制会话。也就是说,远程控制软件只会根据用户名与密码来进行身份验证。所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略,可以让只有网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件,如PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同,选择合适的身份验证方式。另外,其还具有加强的审计与日志功能,可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
三是除非有特殊的必要,否则不要装或者开启远程控制软件。即使采取了一些安全措施,其安全隐患仍然存在。为此,除非特别需要,才开启远程控制软件。如笔者平时的时候,都会把一些应用服务器的远程控制软件关掉。而只有在笔者出差或者休假的时候,才会把他们开起来,以备不时之需。这么处理虽然有点麻烦,但是可以提高关键应用服务器的安全。这点麻烦还是值得的。
篇2:名企HR总监解析三种招聘方式
网络简历:投放是一个单向的发布
人才结构的分类决定了企业招聘渠道的选择,传统行业、制造业和零售业等领域可能借助一些传统媒体,作为招聘渠道。另外就是作为职位的类别来看招聘渠道,比如说网络。
网络目前是一个很重要的招聘渠道。但是,网络的有效性不一定是最高的。你会发现,很多人投放了简历以后没有回音,没有人通知我面试,没有人来安排我,就是说没有人给我一个实习的机会。
其实网络的有效性在递减。原因是网络简历的投放或者说信息的发布不是一个双向的,它是一个单向的发布。我发布了一个(职位的)需求,但是,我不知道谁会投简历过来,从发到的简历里会发现有80%~90%跟这个职位是不匹配的,最后会导致网络渠道有效性的递减。所以很多企业包括大的企业,它们都提供了一些其他招聘渠道,比如内部人才的推荐、内部竞争机会以及专业渠道(在一些技术论坛、技术研讨会中搜寻专业技术人才)。
内部推荐:效率高,成功率大
据我所知,很多公司从内部推荐这一渠道中所选的人才比例达到了30%-40%,有些公司甚至达到了45%以上。通过人脉的资源招聘人才的有效性(成功率)甚至跟网络相当。网络招聘是靠大量的简历,比如说一家公司招100名员工,但是最终却收到了13万份简历,工作量非常大,简历有效性比较低,
而内部推荐却不一样,它可能只推荐了几份(简历),但是其有效性非常高,成功率也非常大。所以说内部推荐是一个非常好的途径。
校园招聘:能够了解一个人的潜力
第三个就是校园招聘渠道。校园招聘计划基本上是在每年的第四季度,面临学生大四毕业的时候。现在仍然有80%的企业在第四季度启动校园招聘计划。但是,在最近的几年里面,很多企业把校园招聘计划往前推,学生在还没有毕业的时候就可以提前进入企业,在企业里实习,去了解企业文化,企业会在这个过程中去发现人才。同时,学生在实习的过程中也可以了解这个岗位是否是自己喜欢的,这个企业是否是自己喜欢的,这是一个双向选择的过程。所以,校园招聘以及实习生计划目前被越来越多的企业所采纳。从长远看,这也是一个非常有效的途径,尤其是企业在培养专业技术人才以及初级管理人才的时,能够了解一个人的潜力。
目前有80%~90%以上的企业是通过校园招聘这个途径来搜寻人才的。还有一些途径,比如老师推荐。我们公司就是跟一些学校建立了长期的联系,一些老师直接推荐学生给我们。相对来讲,老师会比较负责地说明这个学生的潜质、能力,这也是其成功率高的重要原因。
篇3:TCP/IP三种传送方式(单播,广播,组播)解析
TCP/IP三种传送方式(单播,广播,组播)解析
TCP/IP传送方式
组播技术是TCP/IP传送方式的一种,在我们讨论组播技术之前先来看看
TCP/IP传送方式。TCP/IP传送方式有三种:单播,广播,组播。
单播(Unicast)传输:在发送者和每一接收者之间需要单独的数据信道。 如果一台主机同时给很少量的接收者传输数据,一般没有什么问题。但如果有大量主机希望获得数据包的同一份拷贝时却很难实现。 这将导致发送者负担沉重、延迟长、网络拥塞;为保证一定的服务质量需增加硬件和带宽。
组播(Multicast)传输:它提高了数据传送效率。减少了主干网出现拥塞的可能性。组播组中的主机可以是在同一个物理网络, 也可以来自不同的物理网络(如果有组播路由器的支持)。
广播(Broadcast)传输:是指在IP子网内广播数据包,所有在子网内部的主机都将收到这些数据包。 广播意味着网络向子网主机都投递一份数据包,不论这些主机是否乐于接收该数据包。然而广播的使用范围非常小, 只在本地子网内有效,因为路由器会封锁广播通信。广播传输增加非接收者的开销。
二、组播技术
2.1、组播技术的原理
组播是一种允许一个或多个发送者(组播源)发送单一的数据包到多个接收者(一次的,同时的)的网络技术。 组播源把数据包发送到特定组播组,而只有属于该组播组的地址才能接收到数据包。组播可以大大的节省网络带宽, 因为无论有多少个目标地址,在整个网络的任何一条链路上只传送单一的数据包。 它提高了数据传送效率。减少了主干网出现拥塞的可能性。组播组中的主机可以是在同一个物理网络, 也可以来自不同的物理网络(如果有组播路由器的支持)。
2.2、实现组播技术的前提条件
实现IP组播传输,则组播源和接收者以及两者之间的下层网络都必须支持组播。这包括以下几方面:
* 主机的TCP/IP实现支持发送和接收IP组播;
* 主机的网络接口支持组播;
* 有一套用于加入、离开、查询的组管理协议,即IGMP(v1,v2);
* 有一套IP地址分配策略,并能将第三层IP组播地址映射到第二层MAC地址;
* 支持IP组播的应用软件;
* 所有介于组播源和接收者之间的路由器、集线器、交换机、TCP/IP栈、防火墙均需支持组播;
2.3、组播地址
在组播通信中,我们需要两种地址:一个IP组播地址和一个Ethernet组播地址。其中,IP组播地址标识一个组播组。 由于所有IP数据包都封装在Ethernet帧中,所以还需要一个组播Ethernet地址。为使组播正常工作, 主机应能同时接收单播和组播数据,这意味着主机需要多个IP和Ethernet地址。 IP地址方案专门为组播划出一个地址范围,在IPv4中为D类地址,范围是224.0.0.0到239.255.255.255, 并将D类地址划分为局部链接组播地址、预留组播地址、管理权限组播地址。
局部链接地址:224.0.0.0~224.0.0.255,用于局域网,路由器不转发属于此范围的IP包;
预留组播地址:224.0.1.0~238.255.255.255,用于全球范围或网络协议;
管理权限地址:239.0.0.0~239.255.255.255,组织内部使用,用于限制组播范围;
D类地址的最后28比特没有结构化,即没有网络ID和主机ID之分,
响应某一个IP多播地址的主机构成一个主机组,主机组可跨越多个网络。主机组的成员 数是动态的,主机可以通过IGMP协议加入或离开某个主机组。IP多播地址影射到以太网地址的方法见下图。因为IP多播地址的高5位未影射,因此,影射的 以太网地址不是唯一的,共有32个IP多播地址影射到一个以太网地址。
2.4、组播协议:
组播协议主要包括组管理协议(IGMP)和组播路由协议(密集模式协议(如DVMRP,PIM-DM)、稀疏模式协议(如PIM-SM,CBT) 和链路状态协议(MOSPF))
* 组管理协议IGMP
主机使用IGMP通知子网组播路由器,希望加入组播组;路由器使用IGMP查询本地子网中是否有属于某个组播组的主机。
* 加入组播组
当某个主机加入某一个组播组时,它通过“成员资格报告”消息通知它所在的IP子网的组播路由器,同时将自己的IP模块做相应的准备, 以便开始接收来自该组播组传来的数据。如果这台主机是它所在的IP子网中第一台加入该组播组的主机, 通过路由信息的交换,组播路由器加入组播分布树。
* 退出组播组
在IGMP v1中,当主机离开某一个组播组时,它将自行退出。组播路由器定时(如120秒) 使用“成员资格查询” 消息向IP子网中的所有主机的组地址(224.0.0.1)查询,如果某一组播组在IP子网中已经没有任何成员, 那么组播路由器在确认这一事件后, 将不再在子网中转发该组播组的数据。与此同时,通过路由信息交换, 从特定的组播组分布树中删除相应的组播路由器。 这种不通知任何人而悄悄离开的方法, 使得组播路由器知道IP子网中已经没有任何成员的事件延时了一段时间,所以在IGMP v2.0中,当每一个主机离开某一个组播组时, 需要通知子网组播路由器,组播路由器立即向IP子网中的所有组播组询问,从而减少了系统处理停止组播的延时。
* 组播路由协议
要想在一个实际网络中实现组播数据包的转发,必须在各个互连设备上运行可互操作的组播路由协议。 组播路由协议可分为三类:密集模式协议(如DVMRP,PIM-DM)、稀疏模式协议(如PIM-SM,CBT) 和链路状态协议(MOSPF),下面分别介绍各个协议的工作原理。
* 距离向量组播路由协议(Distance Vector Multicast Routing Protocol:DVMRP)
DVMRP由单播路由协议RIP扩展而来,两者都使用距离向量算法得到网络的拓扑信息,不同之处在于RIP根据路由表前向转发数据, 而DVMRP则是基于RPF。为了使新加入的组播成员能及时收到组播数据,DVMPR采用定时发送数据包给所有的LAN的方法, 然而这种方法导致大量路由控制数据包的扩散,这部分开销限制了网络规模的扩大。另一方面,DVMRP使用跳数作为计量尺度, 其上限为32跳,这对网络规模也是一个限制。目前提出了分层DVMRP,即对组播网络划分区域, 在区域内的组播可以按照任何协议进行,而对于跨区域的组播则由边界路由器在DVMRP协议下进行,这样可大大减少路由开销。
* 开放式组播最短路径优先协议(Multicast Open Shortest Path First:MOSPF)
作者 三点水兽
